Q1Uf3Ng

**Nome do Software Vulnerável e Versões Afetadas** Dozzle versões anteriores a 10.5.2 **Description** O upgrader de WebSocket para os endpoints '/exec' e '/attach' aceita solicitações de upgrade de qualquer origem porque utiliza uma função `CheckOrigin` personalizada que sempre retorna verdadeiro. Quando combinado com o cookie JWT usando `SameSite: Lax`, isso permite o Cross-Site WebSocket Hijacking (CSWSH). Um invasor que hospede uma página em uma origem do mesmo site (como um subdomínio irmão ou outro serviço no localhost) pode iniciar uma conexão WebSocket para o endpoint exec. Essa conexão transporta o cookie JWT válido da vítima, permitindo que o invasor obtenha acesso ao shell interativo em qualquer contêiner ao qual a vítima tenha autorização de acesso. **Recommendations** Atualize para a versão 10.5.2. Como medida paliativa temporária, restrinja o acesso aos endpoints '/exec' e '/attach' para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Termix versões anteriores a 2.1.0 **Descrição** O Termix é uma plataforma de gerenciamento de servidores baseada na web que fornece terminal SSH, tunelamento e capacidades de edição de arquivos. Os endpoints 'extractArchive' e 'compressFiles' no arquivo file-manager.ts utilizam strings com aspas duplas para a construção de comandos de shell. Essa implementação permite a substituição $(command), o que possibilita a injeção de comandos no host SSH remoto. **Recomendações** Atualize para a versão 2.1.0.

**Nome do Software Vulnerável e Versões Afetadas** ArchiveBox (versões afetadas não especificadas) **Descrição** O endpoint '/add/' (AddView em `core/views.py`) permite a injeção de configurações arbitrárias em tarefas de rastreamento (crawl jobs), pois o campo JSON de configuração é mesclado sem validação. Essa configuração é posteriormente exportada como variáveis de ambiente quando os plugins de arquivamento são executados, permitindo a injeção de argumentos de ferramentas para alcançar a execução remota de código. Quando a variável `PUBLIC ADD VIEW` está definida como True, isso pode ser explorado sem autenticação, já que o endpoint também é `@csrf exempt` (isento de proteção contra Cross-Site Request Forgery, um mecanismo que impede que comandos não autorizados sejam transmitidos de um usuário em quem a aplicação web confia). Especificamente, o parâmetro `config` pode ser usado para sobrescrever chaves como `YTDLP ARGS EXTRA` ou `GALLERYDL ARGS EXTRA` para executar comandos arbitrários via a flag `--exec` das respectivas ferramentas. **Recomendações** Como medida paliativa temporária, defina `PUBLIC ADD VIEW` como False para impedir o acesso não autenticado ao endpoint '/add/'. Restrinja o uso do parâmetro `config` no endpoint '/add/' até que uma correção esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** Vim versões anteriores a 9.2.0435 **Descrição** Um problema de injeção de comando de SO existe na conclusão de linha de comando do `:find`. Quando a opção `path` contém comandos de shell delimitados por crases, esses comandos são executados durante a conclusão do nome do arquivo. Como a opção `path` carece da flag `P SECURE`, ela pode ser modificada por meio de uma modeline. Isso permite que um invasor que controle o conteúdo de um arquivo execute comandos de shell arbitrários se um usuário abrir esse arquivo e acionar a conclusão do `:find`. **Recomendações** Atualizar para a versão 9.2.0435.

**Name of the Vulnerable Software and Affected Versions** Gotenberg versions prior to 8.29.0 **Description** Gotenberg, an API for converting document formats, contains a flaw related to URL scheme handling. A previously implemented fix for CVE-2024-21527 could be bypassed by utilizing mixed-case or uppercase URL schemes, such as `FILE:///etc/passwd` or `File:///etc/passwd`. The issue stems from a case-sensitive regular expression used in the `FilterDeadline` function within `pkg/gotenberg/filter.go`, which does not account for the case-insensitivity of URI schemes as defined in RFC 3986 Section 3.1. This allows attackers to bypass the intended security measures and potentially read arbitrary files from the Gotenberg container. The vulnerability affects both the URL endpoint and HTML conversion processes, including those involving iframes and link tags. The vulnerable code resides in `pkg/modules/chromium/chromium.go`, `pkg/gotenberg/filter.go`, and `pkg/modules/chromium/events.go`. The API endpoint ''/forms/chromium/convert/url'' is affected, utilizing the `url` parameter. **Recommendations** Gotenberg versions prior to 8.29.0 should be updated to version 8.29.0 or later.

**Name of the Vulnerable Software and Affected Versions** Tautulli versions prior to 2.17.0 **Description** Tautulli is a Python-based monitoring and tracking tool for Plex Media Server. Before version 2.17.0, the `str eval()` function within the `notification handler.py` file implemented a sandboxed `eval()` function for notification text templates. The sandbox aimed to restrict callable names by inspecting `code.co names` of the compiled code object. However, `code.co names` only contains names from the outer code object. When a lambda expression was used, it created a nested code object, and attribute accesses were stored in `code.co consts`, not `code.co names`. Consequently, the sandbox did not inspect nested code objects. **Recommendations** Update Tautulli to version 2.17.0 or later.

Piwigo is an open source photo gallery application for the web. Prior to version 16.3.0, the four date filter parameters (f min date available, f max date available, f min date created, f max date created) in ws std image sql filter() are concatenated directly into SQL without any escaping or type validation. This could result in an unauthenticated attacker reading the full database, including user password hashes. This issue has been patched in version 16.3.0.

**Name of the Vulnerable Software and Affected Versions** Froxlor versions prior to 2.3.5 **Description** The `DomainZones.add` API endpoint, accessible to customers with DNS enabled, does not validate the `content` field for specific DNS record types (LOC, RP, SSHFP, TLSA). This allows an attacker to inject newlines and BIND zone file directives, such as `$INCLUDE`, into the zone file. When the DNS rebuild cron job runs, the modified zone file is written to disk. This can lead to information disclosure, DNS service disruption, and potential zone data manipulation. The vulnerable code resides in `lib/Froxlor/Api/Commands/DomainZones.php` (lines 213-214, 253-254, 290-291, 292-293) and `lib/Froxlor/Dns/DnsEntry.php` (line 83), and the zone file is written in `lib/Froxlor/Cron/Dns/Bind.php` (line 121). An example of exploitation involves using the `curl` command with the `DomainZones.add` command and injecting BIND directives into the `content` parameter of a LOC record. The API endpoint is ''/api.php'' and the vulnerable parameter is `content`. **Recommendations** Update Froxlor to version 2.3.5 or later.

**Name of the Vulnerable Software and Affected Versions** SuiteCRM versions prior to 7.15.1 SuiteCRM versions prior to 8.9.3 **Description** SuiteCRM is an open-source Customer Relationship Management (CRM) software application. Prior to versions 7.15.1 and 8.9.3, the `field function` parameter received through POST data in the AOR Reports module is saved directly into the `aor fields` table without validation. Subsequently, when a report is executed or viewed, this value is directly concatenated into a SQL SELECT query without sanitization, leading to a second-order SQL injection. An authenticated user with Reports access can potentially extract arbitrary database contents, including password hashes, API tokens, and configuration values. In MySQL environments with FILE privilege, Remote Code Execution (RCE) may be possible through SELECT INTO OUTFILE. **Recommendations** SuiteCRM versions prior to 7.15.1 should be updated to version 7.15.1 or later. SuiteCRM versions prior to 8.9.3 should be updated to version 8.9.3 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Chartbrew anteriores à 4.8.3 **Descrição** O Chartbrew é uma aplicação web que se conecta a bancos de dados e APIs para criar gráficos. Antes da versão 4.8.3, um atacante não autenticado pode injetar SQL arbitrário nas consultas executadas contra bancos de dados conectados, incluindo MySQL e PostgreSQL. Isso permite que um atacante potencialmente leia, modifique ou exclua dados dentro desses bancos de dados, dependendo das permissões do usuário do banco de dados. O problema está relacionado à função `applyMysqlOrPostgresVariables`. **Recomendações** Atualize o Chartbrew para a versão 4.8.3 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do OpenReplay anteriores à 1.20.0 **Descrição** OpenReplay é uma suíte de reprodução de sessão auto-hospedada. O endpoint da API `/projectId}/cards/search` é vulnerável a injeção de SQL devido a uma falha no parâmetro `sort.field`. Isso permite potencial acesso ou modificação não autorizados do banco de dados. **Recomendações** Atualize para a versão 1.20.0 ou posterior.

**Name of the Vulnerable Software and Affected Versions** OpenClaw versions prior to 2026.2.21 **Description** The software contains an improper URL scheme validation issue in the `assertBrowserNavigationAllowed()` function. Authenticated users with browser-tool access can navigate to file:// URLs, potentially allowing attackers to access local files readable by the OpenClaw process user through browser snapshot and extraction actions, leading to sensitive data exfiltration. The vulnerable component is located in `src/browser/navigation-guard.ts`. The issue arises because the `assertBrowserNavigationAllowed()` function only validated `http:` and `https:` network targets, implicitly allowing other schemes. An attacker with valid gateway credentials and browser-tool access can exfiltrate local files readable by the OpenClaw process user. **Recommendations** OpenClaw versions prior to 2026.2.21 should be updated to version 2026.2.21 or later. Reject unsupported navigation schemes and allow only explicitly safe non-network URLs. OpenClaw now blocks non-network schemes (such as `file:`, `data:`, and `javascript:`) while preserving `about:blank`.

**Nome do Software Vulnerável e Versões Afetadas** Versões do BentoML anteriores à 1.4.36 **Descrição** O BentoML é uma biblioteca Python usada para construir sistemas de serviço online para aplicativos de IA e inferência de modelos. A função `safe extract tarfile()` não valida completamente os destinos de links simbólicos dentro de arquivos tar, possivelmente permitindo que um invasor escreva arquivos arbitrários no sistema de arquivos do host. Especificamente, a função valida o caminho do link simbólico, mas não o caminho para o qual ele aponta. Um invasor pode criar um arquivo tar malicioso contendo um link simbólico que aponta para fora do diretório de extração pretendido, seguido por um arquivo que, ao ser extraído, escreve dados através do link simbólico para um local fora do diretório de extração. **Recomendações** Atualize o BentoML para a versão 1.4.36 ou posterior.

Nome do Software Vulnerável e Versões Afetadas Versões do NocoDB anteriores a 0.301.3 Descrição NocoDB é um software para criar bancos de dados em formato de planilhas. Um usuário autenticado com o papel de Criador pode injetar SQL arbitrário por meio do parâmetro de unidade da fórmula `DATEADD`. O problema afeta versões anteriores a 0.301.3. Recomendações Atualize para a versão 0.301.3 ou posterior.

Nome do Software Vulnerável e Versões Afetadas Versões do Actual anteriores a 26.2.1 Descrição Existe uma vulnerabilidade no Actual, uma ferramenta de finanças pessoais, em que os endpoints da API de sincronização não verificam corretamente as permissões de acesso do usuário no modo multiusuário (OpenID). Isso permite que qualquer usuário autenticado leia, modifique e sobrescreva arquivos de orçamento pertencentes a outros usuários ao fornecer o ID do arquivo. Os endpoints da API afetados são `/sync/*`. O parâmetro vulnerável é o ID do arquivo. Recomendações Atualize para a versão 26.2.1 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Plane anteriores a 1.2.2 **Descrição** O Plane é uma ferramenta de gerenciamento de projetos de código aberto. O método `ProjectAssetEndpoint.patch()` em `apps/api/plane/app/views/asset/v2.py` (linhas 579–593) realiza uma busca global de ativos utilizando apenas o ID do ativo (`pk`) por meio de `FileAsset.objects.get(id=pk)`, sem verificar se o ativo pertence ao workspace e projeto especificados. Isso permite que qualquer usuário autenticado, incluindo aqueles com a função GUEST, modifique os atributos `attributes` e o status `is uploaded` de ativos pertencentes a qualquer workspace ou projeto dentro da instância do Plane, adivinhando ou enumerando UUIDs de ativos. **Recomendações** Atualize para a versão 1.2.2 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Mautic anteriores à 4.4.19 Versões do Mautic anteriores à 5.2.10 Versões do Mautic anteriores à 6.0.8 Versões do Mautic anteriores à 7.0.1 **Descrição** Existe uma vulnerabilidade de injeção de SQL no endpoint da API utilizado para recuperar atividades de contatos. A vulnerabilidade deve-se à validação insuficiente do parâmetro que controla a direção de ordenação na construção da consulta para a linha do tempo de Atividades de Contato. Isso poderia permitir que usuários autenticados injetassem comandos SQL arbitrários via API. O parâmetro vulnerável não é explicitamente identificado. **Recomendações** Atualize para a versão 4.4.19 ou posterior. Atualize para a versão 5.2.10 ou posterior. Atualize para a versão 6.0.8 ou posterior. Atualize para a versão 7.0.1 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Pimcore até e incluindo a 11.5.14.1 Versões do Pimcore até e incluindo a 12.3.2 **Descrição** O Pimcore é uma Plataforma de Gerenciamento de Dados e Experiência de Código Aberto. O parâmetro `filter query` nos endpoints de listagem de dependências é processado sem a devida sanitização, permitindo a potencial extração do banco de dados. Especificamente, o parâmetro é decodificado em JSON e seu valor é incorporado diretamente em cláusulas RLIKE sem medidas de segurança adequadas. A exploração bem-sucedida requer autenticação administrativa. Um invasor com acesso ao painel administrativo poderia potencialmente extrair todo o banco de dados, incluindo hashes de senha de outros usuários administrativos. Os endpoints afetados envolvem a funcionalidade de listagem de dependências. O parâmetro vulnerável é `filter query`. **Recomendações** Atualize para a versão 12.3.3 ou posterior do Pimcore.

**Nome do Software Vulnerável e Versões Afetadas** Versões do SillyTavern anteriores a 1.16.0 **Descrição** O SillyTavern é uma interface de usuário instalada localmente para interagir com grandes modelos de linguagem, mecanismos de geração de imagens e modelos de voz texto-para-fala. Existe uma Falsificação de Solicitação do Lado do Servidor (SSRF) no endpoint de download de ativos para versões anteriores a 1.16.0. Isso permite que usuários autenticados façam solicitações HTTP arbitrárias a partir do servidor e leiam o corpo completo da resposta, potencialmente permitindo acesso a serviços internos, metadados da nuvem e recursos de rede privada. O problema foi resolvido por uma verificação de whitelist de domínios para solicitações de download de ativos, introduzida na versão 1.16.0, configurável por meio do array `whitelistImportDomains` no arquivo `config.yaml`. **Recomendações** Atualize para a versão 1.16.0 ou posterior do SillyTavern. Revise e personalize o array `whitelistImportDomains` no arquivo `config.yaml` para garantir restrições apropriadas nas solicitações de download de ativos.

**Name of the Vulnerable Software and Affected Versions** Craft CMS versions 5.6.0 through 5.9.10 **Description** Craft CMS is a content management system (CMS). A flaw exists in the way settings are processed, specifically within the `EntryTypesController.php` file. The `$settings` array, derived from `parse str`, is directly passed to `Craft::configure()` without proper sanitization using `Component::cleanseConfig()`. This allows for the injection of Yii2 behavior and event handlers through keys prefixed with 'as' or 'on', mirroring a previously identified attack vector. Successful exploitation requires administrator permissions within the Craft control panel and the `allowAdminChanges` setting to be enabled. An attacker can leverage this to achieve Remote Code Execution (RCE) using the same gadget chain as the original advisory. **Recommendations** Versions 5.6.0 through 5.9.10 should be updated to version 5.9.11.